ProHoster > blog > Amministrazzjoni > WireGuard huwa l-VPN kbir tal-futur?

WireGuard huwa l-VPN kbir tal-futur?

WireGuard huwa l-VPN kbir tal-futur?

Wasal iż-żmien meta VPN m'għadhiex xi għodda eżotika ta 'amministraturi tas-sistema bearded. L-utenti għandhom kompiti differenti, iżda l-fatt hu li kulħadd għandu bżonn VPN.

Il-problema bis-soluzzjonijiet VPN attwali hija li huma diffiċli biex jiġu kkonfigurati b'mod korrett, għaljin biex jinżammu, u huma mimlija kodiċi wirt ta 'kwalità dubjuża.

Bosta snin ilu, l-ispeċjalista Kanadiż tas-sigurtà tal-informazzjoni Jason A. Donenfeld iddeċieda li kellu biżżejjed minnha u beda jaħdem fuq WireGuard. WireGuard issa qed jitħejja għall-inklużjoni fil-kernel tal-Linux u saħansitra rċieva tifħir minn Linus Torvalds u Senat tal-Istati Uniti.

Vantaġġi mitluba ta' WireGuard fuq soluzzjonijiet VPN oħra:

  • Faċli biex tużah.
  • Juża kriptografija moderna: Qafas ta 'protokoll tal-istorbju, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, eċċ.
  • Kodiċi kompatt, li jinqara, aktar faċli biex tinvestiga għal vulnerabbiltajiet.
  • Prestazzjoni għolja.
  • Ċar u elaborat speċifikazzjoni.

Instab xi balla tal-fidda? Wasal iż-żmien li tidfen OpenVPN u IPSec? Iddeċidejt li nittratta dan, u fl-istess ħin għamilt skript għall-installazzjoni awtomatika ta 'server VPN personali.

Prinċipji ta 'ħidma

Il-prinċipji operattivi jistgħu jiġu deskritti xi ħaġa bħal din:

  • Jinħoloq interface WireGuard u ċavetta privata u indirizz IP huma assenjati lilha. Is-settings ta 'pari oħra huma mgħobbija: iċ-ċwievet pubbliċi tagħhom, l-indirizzi IP, eċċ.
  • Il-pakketti IP kollha li jaslu fl-interface WireGuard huma inkapsulati f'UDP u imwassla mingħajr periklu sħabhom oħra.
  • Il-klijenti jispeċifikaw l-indirizz IP pubbliku tas-server fis-settings. Is-server awtomatikament jirrikonoxxi l-indirizzi esterni tal-klijenti meta dejta awtentikata b'mod korrett tasal mingħandhom.
  • Is-server jista 'jbiddel l-indirizz IP pubbliku mingħajr ma jinterrompi x-xogħol tiegħu. Fl-istess ħin, se tibgħat twissija lill-klijenti konnessi u dawn se jaġġornaw il-konfigurazzjoni tagħhom fuq il-fly.
  • Jintuża l-kunċett tar-routing Rotot Cryptokey. WireGuard jaċċetta u jibgħat pakketti bbażati fuq iċ-ċavetta pubblika tal-pari. Meta s-server jiddeċifra pakkett awtentikat b'mod korrett, il-qasam src tiegħu jiġi kkontrollat. Jekk taqbel mal-konfigurazzjoni allowed-ips peer awtentikat, il-pakkett jiġi riċevut mill-interface WireGuard. Meta jintbagħat pakkett ħerġin, isseħħ il-proċedura korrispondenti: il-qasam dst tal-pakkett jittieħed u, abbażi tiegħu, jintgħażel il-peer korrispondenti, il-pakkett jiġi ffirmat biċ-ċavetta tiegħu, ikkodifikat biċ-ċavetta tal-pari u jintbagħat lill-endpoint remot .

Il-loġika ewlenija kollha ta 'WireGuard tieħu inqas minn 4 elf linja ta' kodiċi, filwaqt li OpenVPN u IPSec għandhom mijiet ta 'eluf ta' linji. Biex jiġu appoġġjati algoritmi kriptografiċi moderni, huwa propost li tiġi inkluża API kriptografika ġdida fil-qalba tal-Linux żingu. Bħalissa għaddejja diskussjoni dwar jekk din hijiex idea tajba.

Produttività

Il-vantaġġ massimu tal-prestazzjoni (meta mqabbel ma 'OpenVPN u IPSec) se jkun notevoli fuq sistemi Linux, peress li WireGuard huwa implimentat bħala modulu tal-kernel hemmhekk. Barra minn hekk, macOS, Android, iOS, FreeBSD u OpenBSD huma appoġġjati, iżda fihom WireGuard jaħdem fl-ispazju tal-utent bil-konsegwenzi kollha tal-prestazzjoni li jirriżultaw. L-appoġġ tal-Windows huwa mistenni li jiżdied fil-futur qarib.

Riżultati benchmark ma sit uffiċjali:

WireGuard huwa l-VPN kbir tal-futur?

L-esperjenza tiegħi fl-użu

M'inix espert VPN. Darba waqqaft OpenVPN manwalment u kien tedjanti ħafna, u lanqas ippruvajt IPSec. Hemm wisq deċiżjonijiet biex tieħu, huwa faċli ħafna li tispara lilek innifsek fis-sieq. Għalhekk, dejjem użajt skripts lesti biex tikkonfigura s-server.

Allura, WireGuard, mil-lat tiegħi, huwa ġeneralment ideali għall-utent. Id-deċiżjonijiet kollha ta 'livell baxx jittieħdu fl-ispeċifikazzjoni, għalhekk il-proċess tat-tħejjija ta' infrastruttura VPN tipika jieħu biss ftit minuti. Huwa kważi impossibbli li iqarrqu fil-konfigurazzjoni.

Proċess ta 'installazzjoni deskritt fid-dettall fuq il-websajt uffiċjali, nixtieq ninnota separatament l-eċċellenti Appoġġ OpenWRT.

Iċ-ċwievet tal-kriptaġġ huma ġġenerati mill-utilità wg:

SERVER_PRIVKEY=$( wg genkey )
SERVER_PUBKEY=$( echo $SERVER_PRIVKEY | wg pubkey )
CLIENT_PRIVKEY=$( wg genkey )
CLIENT_PUBKEY=$( echo $CLIENT_PRIVKEY | wg pubkey )

Sussegwentement, għandek bżonn toħloq konfigurazzjoni tas-server /etc/wireguard/wg0.conf bil-kontenut li ġej:

[Interface]
Address = 10.9.0.1/24
PrivateKey = $SERVER_PRIVKEY
[Peer]
PublicKey = $CLIENT_PUBKEY
AllowedIPs = 10.9.0.2/32

u għolli l-mina bi skript wg-quick:

sudo wg-quick up /etc/wireguard/wg0.conf

Fuq sistemi b'systemd tista' tuża dan minflok sudo systemctl start [email protected].

Fuq il-magna tal-klijent, oħloq konfigurazzjoni /etc/wireguard/wg0.conf:

[Interface]
PrivateKey = $CLIENT_PRIVKEY
Address = 10.9.0.2/24
[Peer]
PublicKey = $SERVER_PUBKEY
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820 # Внешний IP сервера
PersistentKeepalive = 25

U għolli l-mina bl-istess mod:

sudo wg-quick up /etc/wireguard/wg0.conf

Li jibqa 'huwa li tikkonfigura NAT fuq is-server sabiex il-klijenti jkunu jistgħu jaċċessaw l-Internet, u lest!

Din il-faċilità ta 'użu u l-kumpattezza tal-bażi tal-kodiċi nkisbu billi ġiet eliminata l-funzjonalità tad-distribuzzjoni ewlenija. M'hemm l-ebda sistema kumplessa ta 'ċertifikati u dan l-orrur korporattiv kollu; ċwievet qosra ta' encryption huma mqassma bħal ċwievet SSH. Iżda dan joħloq problema: WireGuard mhux se jkun daqshekk faċli biex jiġi implimentat fuq xi netwerks eżistenti.

Fost l-iżvantaġġi, ta 'min jinnota li WireGuard mhux se jaħdem permezz ta' prokura HTTP, peress li l-protokoll UDP biss huwa disponibbli bħala trasport. Tqum il-mistoqsija: se jkun possibbli li l-protokoll jiġi offus? Naturalment, dan mhuwiex il-kompitu dirett ta 'VPN, iżda għal OpenVPN, pereżempju, hemm modi kif jaħbi ruħu bħala HTTPS, li jgħin lir-residenti ta' pajjiżi totalitarji jużaw l-Internet bis-sħiħ.

Sejbiet

Fil-qosor, dan huwa proġett interessanti ħafna u promettenti, diġà tista 'tużah fuq servers personali. X'inhu l-profitt? Prestazzjoni għolja fuq sistemi Linux, faċilità ta 'setup u appoġġ, bażi ta' kodiċi kompatta u li tinqara. Madankollu, għadu kmieni wisq biex tgħaġġel biex tittrasferixxi infrastruttura kumplessa lil WireGuard; ta 'min jistenna l-inklużjoni tagħha fil-kernel tal-Linux.

Biex tiffranka l-ħin tiegħi (u tiegħek), żviluppajt Installatur awtomatiku tal-WireGuard. Bl-għajnuna tagħha, tista 'twaqqaf VPN personali għalik innifsek u għal sħabek mingħajr ma tifhem xejn dwarha.

Sors: www.habr.com

Żid kumment